如需了解 Weak Password Test (WPT)，请阅读以下部分或观看短视频 Weak Password Test (WPT)。

WPT 介绍

WPT 是一款免费工具，用于检查您的 Active Directory (AD) 中容易受到密码类攻击的用户密码。

WPT 会连接您的 AD，使用散列密码和加密算法来检索您的密码表。然后，这款工具会根据十个潜在密码漏洞对密码进行分析。

您的结果将显示哪些用户账户未通过测试及其原因。这些信息可以帮助您提高组织的密码复杂性要求，培训用户采用安全密码，或采取其他措施来提高组织的安全性。

系统要求和先决条件

您的系统必须满足以下要求，才能运行 WPT：

• Windows 10 或以上版本（32 位或 64 位）、Windows Server 2016 或以上版本
• Active Directory (AD)，在 Windows Server 2008 R2 或以上版本中运行
• 域控制器 (DC) 访问功能
• Internet 访问权限
• 可安装 .NET Framework 4.7.2（如有需要）
• 至少两个处理器
• 至少 2GB 内存
• 系统驱动器上至少有 1GB 的可用硬盘驱动器 (HDD) 空间
• 用户账户控制 (UAC) 已启用

建议在非 DC 的系统上运行此测试，因为扫描过程可能会暂时产生巨大网络流量并占用中央处理器 (CPU) 使用率。

在安装过程中，您需要以下信息：

1. 您在注册测试时所收到的电子邮件许可密钥。
2. 您的 AD 域名。例如 MyDomain.com 或 MyDomain.local。
3. 您的 DC 名称。
4. 连接 AD 的凭据。

安装和设置

满足了系统需求和先决条件之后，即可安装和设置 WPT。请按照以下步骤开始操作。

1. 在 WPT 页面上注册下载 WPT 工具，并下载 WPT 安装文件。
2. 查看您的电子邮件，检索您的唯一 WPT 许可密钥，您需要在安装过程中使用该密钥。
3. 运行 WPT 安装文件。
4. 查看并接受许可协议。然后，单击安装后完成安装。
5. 单击完成后启动 WPT。
6. 输入步骤 1 中的许可密钥并单击确认。
7. 在 Active Directory 详情下方，输入您的 Active Directory (AD) 的必要详情：
   • 您的 AD 域名
   • 域控制器 (DC) 的名称
8. 在凭据下方，输入已创建账户的用户名和密码，且该账户已启用复制目录更改和复制目录更改全部权限。
9. 单击开始测试，开始您的测试。
10. 该测试将分析您的 AD 账户是否使用了弱密码。分析过程可能需要一分钟或更长时间，视 AD 的大小和工作站的性能而异。
11. 测试完成后，您的结果就会显示在屏幕上。要了解每个漏洞，请阅读下一个部分。

了解结果

您的 WPT 结果将说明有多少账户易受攻击以及哪些漏洞影响了每个账户。查看以下部分，您可以浏览结果并了解已发现密码漏洞的类型。

浏览结果

您的 Active Directory (AD) 账户将显示在单独的行中。在每一行中，会以一个或多个复选标记表示该特定账户发现的具体漏洞。您还可在搜索框中输入字符，搜索特定账户。

饼图会将已发现的漏洞数量和类型进行比较，可用于确定您的组织中最常见的密码漏洞。

若想分析特定漏洞，则可按失败类型筛选结果。您需要单击窗口左侧的特定失败类型，列表中将只显示发现该类型问题的账户。

以下是关于 WPT 用户界面的其他信息：

1. 单击页面左侧的侧边栏，即可按失败类型筛选结果。
2. 您可在搜索栏中搜索特定 AD 账户。
3. 每行中的复选标记表示为每个账户发现的密码漏洞类型。
4. 您可将结果导出为 Excel 电子表格或 PDF 文件。
5. 单击重新运行测试，再次运行 WPT。建议您在单击此按钮之前保存当前结果。

失败类型

WPT 会分析您的数据，进而查找可能使组织容易受到攻击的十种失败类型，详情如下。

1. Weak Password（弱密码)：此类失败表明受影响账户的密码与弱密码字典中列出的一种密码相匹配。这些密码要么十分常用、容易猜到，要么因过往数据泄露而被攻击者窃取。
2. Shared Password（共享密码)：此类失败表明受影响账户与至少一个其他账户共享密码。
3. Empty Password（空密码)：此类失败包括没有设置密码的账户。
4. Clear Text Password（明文密码)：此类失败包括以明文形式存储在 Active Directory (AD) 中的密码。这表示用户的 AD 密码通过可逆加密进行存储。
5. Password Not Required（无密码要求)：此类失败包括具有无密码功能的账户。
6. Password Never Expires（密码永不失效)：此类失败表明账户的密码超时设置为零。由于此设置，即使未勾选用户属性中的密码永不失效复选框，用户的密码也永远不会失效。WPT 将检查您组织的域政策、细粒度密码政策和用户属性中的密码过期设置。
7. LM Hash Password（LM 散列密码)：此类失败表明受影响账户使用了过时的局域网 (LAN) 管理器散列方法。这些密码容易受到暴力攻击，很快就会被破解。
8. AES Encryption Not Set（未设置 AES 加密)：此类失败表明账户没有使用高级加密标准 (AES) 来加密用户密码。AES 使用 128 位或 256 位密钥对密码进行加密。使用 AES 加密的密码不易受到攻击。
9. DES-Only Encryption（仅 DES 加密)：此类失败表明使用了已停用的数据加密标准 (DES) 机制来设置受影响账户。这可能是因为旧软件不知道如何对 AES 作出反应。

10. Missing Pre-Authentication（缺少预身份验证)：此类失败表明受影响账户已关闭预身份验证（一种安全机制）。经启用后，预身份验证将创建已加密的身份验证请求，以便记录对该账户尝试进行身份验证的操作。

    此账户可能会面临暴力攻击的风险。暴力攻击可以离线展开，且难以检测。

设置

您可选择不同设置来自定义 WPT。有关更多信息，请阅读以下子部分。

可选漏洞

您可启用或禁用 WPT 扫描中的两个密码漏洞：未设置 AES 加密或密码永不失效。要访问这些设置，可单击窗口右上角的齿轮图标。

自定义密码

WPT 使用大型密码库来确定用户是否使用了弱密码。如果您希望在 WPT 扫描中添加特定密码，则可导入包含这些密码的文本文件。要访问此设置，可单击窗口右上角的齿轮图标。

在导入文本文件之前，请确保您的文件小于 10MB，且文件中的每一行只包含一个密码。

语言

单击窗口右下角的语言名称，即可更改 WPT 语言。

安全

在使用 WPT 时，您的 Active Directory (AD) 和用户信息可得到安全保护。测试结果仅标识出测试失败的用户账户及失败原因，以便您采取措施。

查看以下详情，了解如何在 WPT 期间处理数据：

• 在测试过程中，您的 AD 中的任何信息都不会传输至 KnowBe4。
• 从您的 AD 中提取的数据已经过加密。
• WPT 不会显示任何 AD 用户账户的密码。
• AD 中的密码为散列格式，且散列格式在测试期间不可见。
• 测试过程中获得的信息会保存在本地内存而非磁盘中。